Microsoft Defender for identitet rollegrupper
Microsoft Defender for identitet tilbyr rollebasert sikkerhet for å beskytte data i henhold til organisasjonens spesifikke sikkerhets- og samsvarsbehov. Vi anbefaler at du bruker rollegrupper til å administrere tilgang til Defender for Identitet, segregere ansvar på tvers av sikkerhetsteamet og bare gi tilgangsmengden brukerne trenger for å gjøre jobben sin.
Enhetlig rollebasert tilgangskontroll (RBAC)
Brukere som allerede er globale administratorer eller sikkerhetsadministratorer på tenantens Microsoft Entra ID, blir også automatisk Defender for identitetsadministrator. Microsoft Entra globale administratorer og sikkerhetsadministratorer trenger ikke ekstra tillatelser for å få tilgang til Defender for identitet.
For andre brukere kan du aktivere og bruke Rollebasert tilgangskontroll for Microsoft 365 (RBAC) til å opprette egendefinerte roller og støtte flere Entra-ID-roller, for eksempel sikkerhetsoperatør eller sikkerhetsleser, som standard for å administrere tilgang til Defender for identitet.
Når du oppretter egendefinerte roller, må du kontrollere at du bruker tillatelsene som er oppført i tabellen nedenfor:
| Tilgangsnivå for Defender for identitet | Minimum nødvendige Microsoft 365 unified RBAC-tillatelser |
|---|---|
| Administratorer | - Authorization and settings/Security settings/Read - Authorization and settings/Security settings/All permissions - Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions- Security operations/Security data/Alerts (manage)- Security operations/Security data /Security data basics (Read)- Authorization and settings/Authorization/All permissions - Authorization and settings/Authorization/Read |
| Brukere | - Security operations/Security data /Security data basics (Read)- Authorization and settings/System settings/Read- Authorization and settings/Security settings/Read- Security operations/Security data/Alerts (manage)- microsoft.xdr/configuration/security/manage |
| Seere | - Security operations/Security data /Security data basics (Read)- Authorization and settings / System settings (Read and manage) - Authorization and settings / Security setting (All permissions) |
Hvis du vil ha mer informasjon, kan du se Egendefinerte roller i rollebasert tilgangskontroll for Microsoft Defender XDR og Opprette egendefinerte roller med Microsoft Defender XDR Unified RBAC.
Obs!
Informasjon som er inkludert fra aktivitetsloggen for Defender for Cloud Apps, kan fortsatt inneholde Defender for identitetsdata. Dette innholdet overholder eksisterende Defender for Cloud Apps tillatelser.
Unntak: Hvis du har konfigurert omfangsdistribusjon for Microsoft Defender for identitet varsler i Microsoft Defender for Cloud Apps-portalen, overføres ikke disse tillatelsene, og du må eksplisitt gi sikkerhetsoperasjoner \ Sikkerhetsdata \ Grunnleggende sikkerhetsdata (lese)-tillatelser for de relevante tillatelsene portalbrukere.
Nødvendige tillatelser Defender for identitet i Microsoft Defender XDR
Tabellen nedenfor beskriver de spesifikke tillatelsene som kreves for Defender for Identitet-aktiviteter i Microsoft Defender XDR.
Viktig
Microsoft anbefaler at du bruker roller med færrest tillatelser. Dette bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
| Aktivitet | Minst nødvendige tillatelser |
|---|---|
| Onboard Defender for Identity (opprett arbeidsområde) | Sikkerhetsadministrator |
| Konfigurer Defender for identitetsinnstillinger | Én av følgende Microsoft Entra roller: - Sikkerhetsadministrator - Sikkerhetsoperator eller Følgende Unified RBAC-tillatelser: - Authorization and settings/Security settings/Read- Authorization and settings/Security settings/All permissions- Authorization and settings/System settings/Read- Authorization and settings/System settings/All permissions |
| Vis Defender for identitetsinnstillinger | Én av følgende Microsoft Entra roller: - Global leser - Sikkerhetsleser eller Følgende Unified RBAC-tillatelser: - Authorization and settings/Security settings/Read - Authorization and settings/System settings/Read |
| Behandle sikkerhetsvarsler og aktiviteter for Defender for identitet | Én av følgende Microsoft Entra roller: - Sikkerhetsoperator eller Følgende Unified RBAC-tillatelser: - Security operations/Security data/Alerts (Manage)- Security operations/Security data /Security data basics (Read) |
|
Vis Defender for identitetssikkerhetsvurderinger (nå en del av Microsoft Secure Score) |
Tillatelser til å få tilgang til Microsoft Secure Score Og Følgende Unified RBAC-tillatelser: Security operations/Security data /Security data basics (Read) |
| Vis aktiva/identiteter-siden |
Tilgangstillatelser for Defender for Cloud Apps eller Én av de Microsoft Entra rollene som kreves av Microsoft Defender XDR |
| Utfør Defender for identitetsresponshandlinger | En egendefinert rolle definert med tillatelser for svar (administrer) eller Én av følgende Microsoft Entra roller: - Sikkerhetsoperator |
Sikkerhetsgrupper for Defender for identitet
Defender for Identity gir følgende sikkerhetsgrupper for å hjelpe til med å administrere tilgang til Defender for identitetsressurser:
- Azure ATP-administratorer (arbeidsområdenavn)
- Azure ATP-brukere (arbeidsområdenavn)
- Azure ATP-seere (arbeidsområdenavn)
Tabellen nedenfor viser aktivitetene som er tilgjengelige for hver sikkerhetsgruppe:
| Aktivitet | Azure ATP-administratorer (arbeidsområdenavn) | Azure ATP-brukere (arbeidsområdenavn) | Azure ATP-seere (arbeidsområdenavn) |
|---|---|---|---|
| Endre status for et helseproblem | Tilgjengelig | Ikke tilgjengelig | Ikke tilgjengelig |
| Endre status for sikkerhetsvarsel (åpne på nytt, lukk, utelat, undertrykk) | Tilgjengelig | Tilgjengelig | Ikke tilgjengelig |
| Slett arbeidsområde | Tilgjengelig | Ikke tilgjengelig | Ikke tilgjengelig |
| Laste ned en rapport | Tilgjengelig | Tilgjengelig | Tilgjengelig |
| Logg på | Tilgjengelig | Tilgjengelig | Tilgjengelig |
| Dele/eksportere sikkerhetsvarsler (via e-post, få kobling, nedlastingsdetaljer) | Tilgjengelig | Tilgjengelig | Tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (oppdateringer) | Tilgjengelig | Ikke tilgjengelig | Ikke tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (enhetskoder, inkludert både sensitive og honningtoken) | Tilgjengelig | Tilgjengelig | Ikke tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (utelatelser) | Tilgjengelig | Tilgjengelig | Ikke tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (språk) | Tilgjengelig | Tilgjengelig | Ikke tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (varsler, inkludert både e-post og syslog) | Tilgjengelig | Tilgjengelig | Ikke tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (forhåndsversjonsgjenkjenninger) | Tilgjengelig | Tilgjengelig | Ikke tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (planlagte rapporter) | Tilgjengelig | Tilgjengelig | Ikke tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (datakilder, inkludert katalogtjenester, SIEM, VPN, Defender for endepunkt) | Tilgjengelig | Ikke tilgjengelig | Ikke tilgjengelig |
| Oppdater Defender for identitetskonfigurasjon (sensorbehandling, inkludert nedlasting av programvare, regenererende nøkler, konfigurering, sletting) | Tilgjengelig | Ikke tilgjengelig | Ikke tilgjengelig |
| Vis enhetsprofiler og sikkerhetsvarsler | Tilgjengelig | Tilgjengelig | Tilgjengelig |
Legge til og fjerne brukere
Defender for Identity bruker Microsoft Entra sikkerhetsgrupper som grunnlag for rollegrupper.
Administrer rollegruppene dine fra Grupper administrasjonssiden på Azure Portal. Bare Microsoft Entra brukere kan legges til eller fjernes fra sikkerhetsgrupper.